目錄

環境搭建
攻擊場景
    尋找外部入口突破
    內網滲透代理隧道
    內部橫向滲透攻擊
總結   

環境搭建

參照《Metasploit滲透測試魔鬼訓練營》第二章進行環境搭建。搭建后測試環境為：
  kali:  10.10.10.128
  owasp ubuntu: 10.10.10.129
  win2k3: 10.10.10.130
  metasploit ubuntu: 10.10.10.254/192.168.10.254
  xp: 192.168.10.128
  win7: 192.168.10.129
  說明：
        1. 添加win7主機，配置靜態ip為192.168.10.129
        2. 默認搭建好環境后各個主機是可互相通信，需要在網關服務器配置防火墻策略使DMZ區兩臺服務器無法與兩臺內網主機進行通信,命令如下：
        iptables -I INPUT -s 10.10.10.1/24 -d 192.168.10.1/24 -j DROP
        3. 假設此網絡拓撲中只有web服務器對外開放，其他四臺內網主機外部都不可訪問
        4. owasp網頁稍作修改，可忽略

Mesploit滲透環境示意圖.jpg

攻擊場景

尋找入口突破

滲透測試的第一步是進行信息收集，對域名，ip信息，whois查詢，端口服務，web程序，中間件，操作系統等信息進行收集整理，對dvssc進行簡單的信息收集：
      域名 www.dvssc.com 
      ip:10.10.10.129
      操作系統:  Linux 2.6.17 - 2.6.36

獲取webshell

 通過查看頁面可以發現后臺登錄入口，(在正常滲透測試環境中，可能是通過爬蟲，目錄字典爆破，google hack， 查找編輯器等方式找到后臺)通過burpsuit抓包，在后臺找到上傳點，通過爆破得到后臺賬號密碼：admin admin 
 上傳大馬連接：

大馬.jpg

獲取web服務器權限

此時我們已經獲取得到webshell，根據操作系統版本可以使用臟牛提權得到web服務器權限。
上傳reverse_shell.pl到服務器：

上傳reverse_shell_pl.jpg

執行perl腳本.jpg

成功反彈shell.jpg

獲取交互式shell

反彈得到的shell是一個terminal，而不是一個交互式shell，執行python -c 'import pty;pty.spawn("/bin/sh")'，得到交互式shell

交互式shell.jpg

獲取服務器權限

上傳dirty.c到/tmp目錄下，執行dirty.c進行臟牛提權：

臟牛提權.jpg

臟牛提權成功.jpg

內網滲透代理隧道

得到服務器權限，繼續滲透內網，建立web隧道對內網進行探測，使用tunnel_nosocket.php+proxychains：

web隧道.jpg

web隧道建立成功.jpg

通過web代理隧道nmap掃描發現10.10.10.130主機和10.10.10.254:

nampC段掃描結果.png

使用ms08067攻擊10.10.10.130服務器

ms08067攻擊成功.png

hashdump獲取hash.png

破解hash得到密碼.png

遠程連接130服務器.png

hydra爆破254服務器密碼

hydra爆破密碼.png

爆破成功.png

收集內網信息

last查看登錄信息，可以看出有192.168.10網段存在

last查看登錄信息.png

還可以通過uname -a , /etc/issue, 網絡配置信息，ifconfig, 歷史命令等來收集信息

收集內網信息.png

通過網關服務器搭建代理進入192.168.10網段

我們現在使用的80隧道可以訪問10段的DMZ區，但是由于防火墻策略無法通過socket直接訪問192網段，但是我們已經得到網關的用戶名密碼，嘗試通過254網關代理得到

兩層代理進入192網段.png

kali的3333端口與10.10.10.254主機建立隧道，現在kali可以直接連接本機3333端口連接到254主機

連接kali的3333端口.png

掃描192網段內網主機

ms17010永恒之藍攻擊win7主機

上傳遠控服務端并執行，等待上線

攻擊內內網xp主機

上傳遠控并執行，等待上線

總結